0ktapus Phishing Kit

Tội phạm mạng đã xâm nhập được hơn 130 tổ chức như một phần của chuỗi các cuộc tấn công mạng. Các hoạt động tội phạm bắt đầu với một chiến dịch lừa đảo rộng rãi và được chế tạo khéo léo bằng cách sử dụng một bộ công cụ lừa đảo có tên là '0ktapus.' Theo một báo cáo của các nhà nghiên cứu bảo mật, những kẻ đe dọa đã có thể thu thập gần 10.000 thông tin đăng nhập chỉ trong vài tháng. Hoạt động này được cho là đã hoạt động ít nhất từ tháng 3 năm 2022. Mục tiêu của chiến dịch 0ktapus dường như là đánh cắp thông tin xác thực Okta và mã 2FA (ủy quyền hai yếu tố). Với dữ liệu bí mật thu được, tội phạm mạng nhằm thực hiện các hoạt động tiếp theo, chẳng hạn như các cuộc tấn công chuỗi cung ứng.

Theo báo cáo, bộ công cụ lừa đảo 0ktapus đã được tận dụng để chống lại các công ty từ nhiều lĩnh vực ngành, bao gồm tài chính, tiền điện tử, công nghệ, tuyển dụng, viễn thông và nhiều lĩnh vực khác. Một số công ty được nhắm mục tiêu là AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy và những công ty khác.

Các cuộc tấn công bắt đầu bằng việc thu hút các tin nhắn SMS có chứa liên kết đến một trang lừa đảo. Trang web gần giống với trang đăng nhập Okta hợp pháp và nhắc người dùng cung cấp thông tin đăng nhập tài khoản và mã 2FA của họ. Okta là một nền tảng IDaaS (Identity-as-a-Service), về cơ bản có nghĩa là nhân viên có thể sử dụng một tài khoản đăng nhập và thông tin đăng nhập duy nhất để truy cập tất cả các tài sản phần mềm mà họ cần trong công ty của họ. Thông tin đăng nhập và mã 2FA đã nhập đã bị trang web giả mạo này cạo và chuyển đến tài khoản Telegram do tin tặc kiểm soát.

Đương nhiên, việc xâm phạm thông tin đăng nhập Okta của các nhân viên được nhắm mục tiêu sẽ cho phép những kẻ tấn công thực hiện một loạt các hành động bất chính trong các tổ chức bị vi phạm. Và họ đã làm được, với việc các tác nhân đe dọa có được quyền truy cập vào VPN, mạng, hệ thống hỗ trợ khách hàng nội bộ của công ty, v.v. Dữ liệu khách hàng thu thập được đã bị tội phạm mạng khai thác để thực hiện các cuộc tấn công chuỗi cung ứng nhắm vào khách hàng của Signal và DigitalOcean.

Chiến dịch lừa đảo 0ktapus cũng đã dẫn đến vi phạm dữ liệu tại các tổ chức lớn, chẳng hạn như Twilio, Klaviyo, MailChimp và một cuộc tấn công cố gắng chống lại Cloudflare. Cho đến nay, các nhà nghiên cứu đã xác định được 169 miền lừa đảo duy nhất mà các tác nhân đe dọa tạo ra như một phần của hoạt động 0ktapus. Các trang bịa đặt được thiết kế để giống với chủ đề phù hợp của từng công ty được nhắm mục tiêu và thoạt nhìn, có vẻ như là các cổng thông tin hợp pháp được nạn nhân sử dụng hàng ngày. Là một phần của cuộc tấn công, các tác nhân đe dọa đã thu thập được 9.931 thông tin đăng nhập từ nhân viên của 136 công ty, 3.129 hồ sơ có email và tổng số 5.441 hồ sơ có chứa mã MFA.